找回密码
 立即注册

华为开发者大会HMS安全与隐私分论坛 打好信息安全的第一道防线

2020-9-11 20:31 来源: 夜夜骑快报网 夜夜骑快报

9月11日下午,华为开发者大会安全与隐私分论坛在松山湖顺利举行,其中,华为消费者业务云服务部资深安全技术专家刘德钱对HMS安全架构与数据保护做了详细解析,不仅层层深入地介绍了HMS Core从开发者接入到服务处理的全流程安全机制,还列举了典型HMS发放能力的安全与数据保护技术,让人印象深刻。

华为HMS Core —— 面向全球开发者的移动核心服务

华为HMS Core全面开放软硬件能力,覆盖“1+8+N”,把华为“芯-端-云” 优质软硬件能力开放给全球开发者,这有效降低了开发门槛和成本,使开发者可以更加高效地开发、灵活创新,为用户提供精品应用内容、服务及体验。刘德钱首先介绍道,HMS Core在这些应用与底层操作系统间起到了关键性的纽带作用,也帮助应用获得了更多的用户、更高的活跃度和更高效的商业成功。

被“开放”的HMS Core,隐私与安全如何保障?——5大安全技术支柱

刘德钱介绍到,开发者接入HMS Core开放能力需要经过以下三步:开发者联盟门户的注册 - 申请接入和获取认证凭证 - 开发者集成HMS SDK(HMS软件开发工作包)使用开放能力,HMS进行接入认证。

其中5大安全技术支柱保障:

  • 认证鉴权:用户认证、接入认证、设备认证;

  • 数据安全与隐私保护:数据安全存储、数据使用安全、数据传输安全、密钥管理、隐私保护;

  • 内容保护:版权保护、数字水印、防盗链;

  • 应用安全:上架四重检测、下载安装保障、运行防护机制;

  • 业务风控:帐号风控、交易风控、内容风控、广告防作弊;

从开发者接入HMS Core,到HMS App和三方App的最终应用,“HMS Core的5大安全技术成为隐私与安全的最有力防线!”

HMS Core接入认证

他指出,HMS Core接入认证时的安全保证有认证凭据接入约束权限控制3种措施。开发者访问HMS Core的开放能力时,需要先在开发者联盟网站创建认证凭据,开发者应用通过携带的认证凭据访问HMS开放能力。当前支持的凭据有API Key、Oauth2.0 ClientID、Service Account Key。这些凭据使用安全随机数生成,生成后在服务器使用AES-GCM加速算法进行加密后存储,防止认证凭据泄露。

除了开发者层面上的保障措施,刘德钱补充道,在应用市场层面,HMS Core实行上架四重检测、下载安装保障、运行防护机制的保障机制。

几种HMS Core典型开放能力的数据保护

帐号安全保障方面,Account kit为应用提供安全便捷的登录能力,例如采用当下主流的FIDO免密身份认证登录,确保账户数据等安全。除了集成FIDO Kit,华为帐号服务在登录、重置密码等环节都设置了主动风控监测机制来防止帐号盗用,并将操作异常等多种风险识别手段与专家规则、机器学习结合,用来识别虚假帐号、防止垃圾注册。这样,华为终端云风控平台就可以做到快速精确地识别风险,从而保障用户合法权益。

刘接着以基于PKI(公钥基础设施)的指纹及人脸支付,和交易支付时的活体检测这一更加强有力的风控措施为例,介绍了IAP kit如何在应用中提供安全便捷的支付服务,在PKI体系下,线上支付更加安全。这些密钥或证书被有效管理,从而为客户建立起一个安全的网络运行环境。

又例如生活中常见的推送服务,Push kit基于Push Token接入认证App,为不同设备里的各个应用都分配一个独一无二的token,并对Push消息加密缓存、自动审核敏感信息,使得跨平台的推送服务更精准可靠;传输安全方面,刘德钱介绍道,使用会话密钥加密Push消息,辅以订阅消息完整性保护措施,使得信息传输更安全!

不放过每个细节:全流程的安全隐私质量保证

刘德钱说,HMS Core的安全防护措施,从刚开始的需求分析、安全设计,到安全代码的开发、安全测试都尽量做到抓准每一步、不放过每个细节。例如安全编码方面,要求输出针对HMS项目的安全开发指南,并输出可以覆盖到43个端云安全漏洞的防护沙盘,千锤百炼,提供优秀的安全编码实践;再比如安全测试方面,实施双重防线,除了华为终端云服务部,还有ICSL(华为公司网络安全实验室)投入40+安全测试人员重重防守。

我们在行动:SilverNeedle银针实验室

最后,刘德钱介绍了HMS目前在实施的守护者计划。面对外来蓝军攻击,HMS自建蓝军,SilverNeedle Lab,专注于研究防范外来蓝军攻击。前不久,SilverNeedle Lab 在松山湖举办攻防渗透主题沙龙,汇集了60位攻防经验丰富的一线安全研究员,共同讨论渗透工具、生物认证、OAuth2、HMS安全攻防等热门议题。

除了自建蓝军,HMS还与业界知名安全公司NCC等公司合作,进行安全测试。目前第一阶段HMS安全众测已经完成邀请了腾讯、360、长亭夜夜骑、安恒等13家业界TOP团队及60+奖励计划受邀高质量白帽(覆盖国内、欧洲、新加坡、俄罗斯等区域),针对HMS (包括HMS Core和HMS App等)进行安全渗透测试。

第二阶段(2020年1月-8月),HMS Core正在进行欧洲专项测试,采购欧洲安全厂商NCC的专业服务对HMS Core进行专项在线渗透测试,本次覆盖现网全部24个Kit,一阶段共计11个Kit的渗透测试活动已经完成。

第三阶段HMS Core正在规划HMS安全挑战赛,邀请全球应用开发者及安全研究员针对HMS产品发起渗透测试,大赛面向全球的开发者和安全研究员。并设置百万奖金池,用于奖励比赛中发现的高价值漏洞,最高单个漏洞奖励42万。

总而言之,HMS Core在安全保障与测试方面的脚步从未停止,随着HMS Core功能不断更新完善,未来全球化市场中HMS严密的安全保障工作重要性不言而喻,经过更多测试者和开发投入后的HMS Core安全体系必将更加完善!

欲了解更多详情,请参阅:

华为开发者联盟官网:https://developer.huawei.com/consumer/en/hms

获取开发指导文档:https://developer.huawei.com/consumer/en/doc/development

参与开发者讨论请到Reddit社区:https://www.reddit.com/r/HMSCore/

下载demo和示例代码请到Github:https://github.com/HMS-Core

解决集成问题请到Stack Overflow:

https://stackoverflow.com/questions/tagged/huawei-mobile-services?tab=Newest

  免责声明:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

  另,市场有风险,选择需谨慎!此文仅供参考,不作买卖依据,投资者若据此操作,风险自担。

  投稿邮箱:[email protected]。详情访问夜夜骑快报网:

编辑:夜夜骑快报网
微信公众号
意见反馈 夜夜骑快报网微信公众号
0